[推荐]自由动力上传漏洞讲解

自由动力３６由动力文章升级而来，是动易网络网站系统最新的免费版本，下载一套试用后发现，注册用户上传文件后，文件名与本地的文件名一样。凭着对文件上传漏洞的了解，感觉这里面有“巧”可以玩。经过测试，发现自由动力系统最新版本仍存在文件上传漏洞。不过这种漏洞与动网文件上传漏洞并不一样，所以注意到的人不多。自由动力系统中，用户注册后就可以拥有“管理”自己的权限，如和用户相关的文章管理、下载管理、图片管理等（图１）。

它允许注册用户上传文章、图片和软件。经过动网漏文件上传漏洞后，黑客采用的那种通过更改文件保存路径的漏洞已经补上了。不过，也许它是为了上传文件的方便识别，上传后的文件名仍按用户原来的文件名保存，也就是说文件名是从客户中接收过来的。问题就出在这里！如果对文件上传漏洞理解了，文件名一样可以利用。下面介绍利用这个漏洞上传任意文件的过程。一，漏洞利用过程先以“Powered by: FreePower Ver 3.6”在百度上搜，找到Ｎ多网站，由于这个系统才发布一个月，很多站才开张，就不选了，找了一个看上去内容较多，又是搞信息技术教育的（我们给它一点安全教育，呵呵）。先注册一个用户google，然后在用户管理页面的下载管理中，找到添加下载项和相应页面，选择准备上传的ＡＳＰ文件，但不点上传按钮（图２）。

打开抓包软件ＷＳＰ，并选中要抓包的页面进准备抓包（图３）。

回到ＩＥ中来上传文件，点“上传”按钮后，提示出错，说这种文件不允许上传（图４），这个是预料之中的（能直接上传成功才怪呢）。

回到抓包软件中来看看抓包结果吧，ＷＳＰ把我刚才的提交过程全记录下来了（图５）

把第三行和第四行复制到文件文件中，注意回车也应复制进去。保存为1.txt（图６）。

下面我们来修改这个文件，这里与动网漏洞不同，它没有路径“filepath”，但它有文件名参数“filename”,改不了文件路径我们就改文件名！找到filename="G:\hk\dv7up\hfjr\updata.asp"这一句，在ＡＳＰ后加一空格，然后加“.rar",变成filename="G:\hk\dv7up\hfjr\updata.asp .rar"（图７）这样就可以骗过电脑，让它以为这个文件是rar文件，从而可以上传。

由于增加了５个字节，另一处也应相应修改： Content-Length: 1522变成 Content-Length: 1527 另存为2.txt。现在拿出ＷＩＮＨＥＸ，打开2.txt，找到filename="G:\hk\dv7up\hfjr\updata.asp .rar"这一字串，把与空格对应的十六进制代码２０改为00（图８），保存退出。我们要的数据就成了

下面就是提交了。打开ＣＭＤ，进入有ＮＣ的目录，用ＮＣ以如下命令提交我们的数据： nc www.zlxx.net 80 <2.txt 很快就返回提交成功的信息，告诉我们“软件上传成功！”并且告诉我们软件的路径和文件名：“uploadsoft/updata.asp”。（图９）。

还等什么，我们到ＩＥ中去看看自己的成果吧，看我们的ＡＳＰ文件到底传上去了没有？在ＩＥ中打开 http://www.zlxx.net/itedu/uploadsoft/updata.asp，看，多么熟悉的画面（图１０），有了它，什么样的ＡＳＰ后门不能上传呢？

二，漏洞的原因动网的漏洞多数人知道，所以现在不少网站已经修补了这个漏洞，但对于文件名，有些程序却没有考虑到。其实，这个漏洞，在原理上同动网漏洞是一样的，都是利用电脑在读取字符串时，遇到“\0”（00）时，认为字符串结束了，从而丢掉后面的字串。这一电脑特性也不知算不算漏洞，正如ＵＮＩＣＯＤＥ编码特性一样，可被人利用。尽管在这里网页过滤了路径，但仍从用户处接收文件名，我们同样可以在字串中构造“\0”，又在结尾处构造ＲＡＲ，因为扩展名是从右读取的，它认为文件类型是rar，从而可以骗过扩展名验证可以上传，在保存时，文件名又是从左边读取的，当它遇到“\0”时，后面就都丢掉了，于是文件就被保存成我想要的updata.asp了。我们学习入侵时应了解一个漏洞的实质，灵活变通，一样能达到目的。